Tag: bank

Analiza złośliwego oprogramowania Backswap

Data publikacji: 19/06/2018, Hubert Barc


    Backswap jest bankerem, który pojawił się w Polsce w okolicach marca 2018 r. Jest to wariant znanego od dawna oprogramowania o nazwie TinBa (od „tiny banker”), którego cechą charakterystyczną jest względnie mały rozmiar (mieszczący się zazwyczaj w zakresie 10-50 kB). Powody dla których uważamy, że jest to ten sam malware tylko z lekkimi modyfikacjami zamieszczamy w podsumowaniu.
    Czytaj więcej

    Analiza złośliwego oprogramowania Ostap (Backswap dropper)

    Data publikacji: 01/06/2018, Paweł Srokosz

      Od pewnego czasu obserwujemy rosnący stopień złożoności złośliwych skryptów rozsyłanych za pośrednictwem poczty elektronicznej. Zazwyczaj, widząc skrypt w załączniku wiadomości phishingowej, mogliśmy z dużym prawdopodobieństwem założyć, że będzie to prosty dropper, mający na celu wyłącznie pobranie i instalację złośliwego oprogramowania. Coraz częściej zdarza się jednak, że skrypt nie kończy działania po wykonaniu głównego zadania i czeka na dodatkowe komendy. Przykładami są m.in. vjw0rm wykorzystywany w kampaniach ransomware’u Vortex (opisany w 2016 r. przez Cert OPL), a także Ostap będący przedmiotem niniejszego artykułu.

      Artykuł stanowi wstęp do analizy złośliwego oprogramowania Backswap, dla którego Ostap jest pierwszym etapem infekcji. Nasza analiza Backswap pojawi się wkrótce!

      Czytaj więcej

      Kolejna kampania ataków na routery klienckie

      Data publikacji: 11/03/2015, alex

      Badając incydenty zgłoszone przez użytkowników, odkryliśmy kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich.

      Metoda ta znana jest od ponad roku, polega na przejęciu kontroli nad domowym routerem ofiary i zmianie ustawień serwerów DNS. Router przydzielający adresy w domowej sieci komputerom i urządzeniom przenośnym, podaje też ustawienia serwerów DNS, i w ten sposób użytkownicy lokalnej sieci zaczynają używać serwerów DNS kontrolowanych przez przestępców. Serwery te działają tak jak serwery legalne, z jednym wyjątkiem – kiedy użytkownik otwiera stronę banku, zamiast niej kierowany jest na serwer pośredniczący, udający stronę banku. Strona ta nie jest prawdziwą stroną banku i użytkownik loguje się do banku pozostając pod kontrolą przestępców, którzy wykorzystują jego dostęp do wyprowadzenia pieniędzy z konta.
      Czytaj więcej

      Podsumowanie zagrożenia VBKlip

      Data publikacji: 29/05/2014, Łukasz Siewierski

      loveletter1Wielokrotnie informowaliśmy już o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, które nazwaliśmy VBKlip. Przypominając, jest to rodzaj malware’u, którego działanie polega na podmianie numeru rachunku bankowego skopiowanego do schowka. W ten sposób, gdy np. opłacamy fakturę kopiując numer konta i następnie go wklejając, wysyłamy przelew na inne konto niż zamierzaliśmy. W tym wpisie przyjrzymy się temu zagrożeniu z perspektywy ostatnich kilku miesięcy, a także przedstawimy szczegółową jego analizę. Uważamy, że zagrożenie wciąż jest istotne, ponieważ wciąż dostajemy zgłoszenia od użytkowników, którzy zostali zainfekowani tym złośliwym oprogramowaniem i w wyniku jego działania stracili środki na koncie.

      Czytaj więcej

      Ruch klientów banków jest przechwytywany i modyfikowany na skutek luk w routerach

      Data publikacji: 06/02/2014, przemek

      malware-mitr

      Pod koniec 2013 roku do zespołu CERT Polska dotarły potwierdzone informacje o pojawianiu się komunikatów sugerujących modyfikację stron bankowych przez złośliwe oprogramowanie na… urządzeniach iPhone. Użytkownicy takich urządzeń oglądali komunikat o zmianie numeru konta bankowego, która powinna zostać potwierdzona kodem jednorazowym. Sam scenariusz był nam dobrze znany jako jedna z wersji injectów wykorzystywanych przez trojany bankowe. Skąd jednak taki trojan na iPhonie? Ponieważ byłby to pierwszy przypadek tego typu ataku na tę platformę, w dodatku ukierunkowany na polskich klientów systemów bankowych, zwrócił on naszą szczególną uwagę. W wyniku analizy zostało ustalone wiele możliwych scenariuszy przeprowadzenia ataku, włącznie z metodami infekcji urządzenia z systemem iOS. Niestety, z powodu braku wystarczających szczegółów dotyczących infekcji nie byliśmy w stanie jednoznacznie określić metody przeprowadzenia ataku.Czytaj więcej

      Wykradacz haseł jednorazowych na Androida udający mobilnego antywirusa

      Data publikacji: 17/12/2013, Łukasz Siewierski

      malware-icon

      Aplikacja E-Security pojawiła się, w wersji atakującej polskich użytkowników, na początku tego roku. W ostatnich tygodniach zauważyliśmy, że o ile sam schemat infekcji jest podobny – wciąż po zalogowaniu się do strony banku wyświetlany jest komunikat o potrzebie instalacji aplikacji mobilnej – o tyle nie jest to już „certyfikat bezpieczeństwa”, a „program antywirusowy”. Ten nowy malware, przeznaczony na systemy z rodziny Android, odznacza się znacznie większymi możliwościami niż E-Security.
      Czytaj więcej

      Jak rozpoznać i unieszkodliwić VBKlip?

      Data publikacji: 31/10/2013, Łukasz Siewierski

      malware-icon

      W poprzednim artykule pisaliśmy na temat nowego malware’u, nazwanego przez nas VBKlip, podmieniającego numer rachunku bankowego, który był skopiowany do schowka. W celu sprawdzenia czy nasz komputer jest zainfekowany wystarczy skopiować dowolny numer przypominający formatem numer rachunku bankowego (na przykład ten: 12 1234 1234 1234 1234 1234 1234) i spróbować go wkleić w edytorze tekstu (np. Microsoft Word, Notatnik), a następnie sprawdzić czy wklejony numer jest taki sam jak skopiowany.
      Czytaj więcej

      Uwaga! Malware podmieniający numer konta podczas kopiowania ze schowka Windows

      Data publikacji: 22/10/2013, Łukasz Siewierski

      malware-icon

      Na początku października otrzymaliśmy informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Uzyskaliśmy próbkę złośliwego oprogramowania, napisanego w Visual Basic 6, którego mechanizm działania był nadzwyczaj prosty jak na zagrożenia tego typu. Jego działanie opierało się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.
      Czytaj więcej

      Coraz bardziej wyrafinowane ataki spyware na klientów bankowości internetowej

      Data publikacji: 25/09/2012, CERT Polska

      javascrip inject

      Wakacje się skończyły, młodzież ruszyła do szkół, studenci na poprawki egzaminów, a przestępcy komputerowi do pracy. Od początku września monitorujemy pojawiające się w plikach konfiguracyjnych oprogramowania szpiegowskiego wpisy dotyczące systemów transakcyjnych polskich banków. Atakuje ono komputery użytkowników systemu Windows, a po zainstalowaniu podsłuchuje wszystkie przesyłane informacje (w tym głównie loginy i hasła), oraz – jeżeli posiada dodatkowe instrukcje w pliku konfiguracyjnym – dokonuje podmiany treści wybranych stron internetowych tuż przed ich wyświetleniem. To złośliwe oprogramowanie to najnowsze odmiany ZeuS-a: Citadel oraz Zeus-p2p (malware oparty na kodzie ZeuS 2.0.8.9, który wyciekł wiosną 2011 roku).

      Czytaj więcej